Le serveur ExpressVPN saisi en Turquie ne révèle rien dans une affaire d'assassinat, confirmant la politique « pas de journaux »
Les autorités turques ont saisi un serveur VPN exploité par ExpressVPN qui, selon elles, a été utilisé pour cacher des détails concernant l'assassinat de l'ambassadeur de Russie en Turquie, Andrei Karlov. Le serveur ne contenait aucune information utile aux autorités, qui enquêtaient sur la suppression d'éventuelles preuves sur Facebook et Gmail.
Un membre de la police turque, en congé, a abattu Karlov en décembre 2016 lors d'une exposition d'art à Ankara, la capitale turque. Le serveur a été saisi en janvier 2017, mais les détails liés à ExpressVPN n'ont été révélés que récemment. L’affaire est toujours ouverte au moment de la rédaction de cet article.
Les autorités ont perquisitionné le centre de données et confisqué le serveur dans l’espoir de retrouver une personne encore inconnue qui a supprimé les comptes Facebook et Gmail de l’assassin, ainsi que les conversations qui auraient pu être utiles à l’enquête. Cette personne l’a fait sous couvert d’une connexion ExpressVPN, qui masque la véritable adresse IP d’un utilisateur et crypte le trafic Internet. ExpressVPN affirme ne conserver aucun journal de l’activité de ses utilisateurs ni aucune autre information d’identification.
ExpressVPN a publié une réponse officielle ici .
« Comme nous l'avons déclaré aux autorités turques en janvier 2017, ExpressVPN ne possède pas et n'a jamais possédé de journaux de connexion clients qui nous permettraient de savoir quel client utilisait les adresses IP spécifiques citées par les enquêteurs. De plus, nous n'avons pas pu voir quels clients ont accédé à Gmail ou Facebook pendant la période en question, car nous ne conservons pas de journaux d'activité. Nous pensons que la saisie et l’inspection du serveur VPN en question par les enquêteurs ont confirmé ces points.
ExpressVPN a coopéré avec les autorités mais n’avait tout simplement aucune information à fournir sur cette affaire. La société est constituée dans les îles Vierges britanniques, qui n'ont aucune exigence obligatoire en matière de conservation des données. De telles saisies ne sont pas rares, a déclaré à Comparitech un porte-parole d'ExpressVPN.
'Ce n'est pas la première fois que les forces de l'ordre confisquent physiquement un serveur', explique le porte-parole. 'Les approches des forces de l'ordre font partie du cours normal des affaires d'un grand fournisseur de VPN, et c'est l'une des raisons pour lesquelles nous travaillons dur pour garantir qu'aucun de nos serveurs ne contient de données qui pourraient permettre à quiconque de relier une activité en ligne à des utilisateurs spécifiques.'
Les conditions d’utilisation d’ExpressVPN interdisent l’utilisation de son service pour des activités illégales, mais comme il ne surveille ni ne conserve de trace de ce que font les clients lorsqu’ils sont connectés au VPN, il dispose de peu de moyens de mise en application.
Bien que les circonstances soient malheureuses, l’affaire renforce les affirmations d’ExpressVPN concernant la confidentialité implacable de ses utilisateurs. Le service a fonctionné exactement comme prévu et promis à une époque où de nombreux critiques du VPN, parmi lesquels Edward Snowden, mettaient en doute ces affirmations.
Les VPN sont bons, mais leur faiblesse réside dans leur unique point d’échec : pirater ou assigner ce point à comparaître pour tout voir. https://t.co/iUxkbJsoK2
-Edward Snowden (@Snowden) 30 décembre 2015
Politiques de journalisation : lire entre les lignes
Mais tous les VPN ne sont pas aussi sérieux. En octobre 2017, la police arrêté un client PureVPN pour des accusations de cyberharcèlement. Ryan Lin a utilisé PureVPN pour dissimuler son identité lorsqu'il traquait et harcelait son ex-colocataire. Lorsque des agents du FBI ont approché la société basée à Hong Kong, PureVPN lui a remis des journaux incriminant Lin.
Voir également: Meilleurs VPN sans journaux
PureVPN, comme ExpressVPN, prétend ne conserver aucun journal.
Un cas similaire s'est produit en 2011 lorsqu'un pirate informatique de LulzSec aux États-Unis a été arrêté pour son rôle dans un piratage contre Sony Pictures. Cody Kretsinger a utilisé le fournisseur VPN HideMyAss pour dissimuler son identité. Quand le FBI a émis une ordonnance du tribunal, HideMyAss aurait remis des journaux qui a incriminé Kretsinger, conduisant à son arrestation.
HideMyAss a également affirmé ne conserver aucun journal. Il convient de noter que l’entreprise a désormais un nouveau propriétaire.
Alors, qu’est-ce qui différencie les politiques de journalisation d’ExpressVPN et de fournisseurs comme ceux-ci ? Cela dépend de ce qui est exactement défini comme un « journal », de la transparence et de la façon dont les fournisseurs VPN font de la publicité.
Lorsque HideMyAss et PureVPN prétendent ne pas se connecter, ce qu’ils veulent dire en réalité, c’est qu’ils ne conservent pas de trace de l’activité de leurs utilisateurs. Ils n’enregistrent pas les détails des pages Web visitées, le contenu des communications ou les achats, par exemple. Ceux-ci sont souvent appelés journaux de trafic ou journaux d’activité.
Ils enregistrent cependant des informations surcommentle VPN a été utilisé, par exemple lorsqu'un utilisateur se connecte et se déconnecte, la quantité de données transférées et, plus pertinent encore, les véritables adresses IP des utilisateurs. Ceux-ci sont appelés journaux de métadonnées ou journaux de session. La plupart de ces informations sont plutôt insignifiantes ; il ne peut pas identifier directement l’utilisateur.
Mais les adresses IP sont différentes. Une adresse IP est une chaîne de chiffres et de décimales propre à un appareil spécifique. Les VPN masquent les véritables adresses IP des utilisateurs, mais si la société VPN enregistre leur véritable adresse IP, les autorités peuvent alors utiliser ces informations pour retracer l'activité connue jusqu'à un appareil spécifique et la personne qui en est propriétaire. Une adresse IP ne constitue peut-être pas légalement une identité, mais elle peut être utilisée pour corroborer d’autres preuves.
HideMyAss et PureVPN, tout en prétendant ne pas enregistrer de journaux dans leurs publicités, enregistrent les véritables adresses IP des utilisateurs. Leurs véritables politiques de journalisation sont enfouies dans les petits caractères de leurs politiques de confidentialité respectives, que la plupart des utilisateurs ne prendront pas la peine de lire.
ExpressVPN, ainsi que la majorité des VPN que nous recommandons sur Comparitech, ne stockent ni journaux d'activité ni adresses IP. Une poignée de fournisseurs prétendent être des services « zéro journal », ce qui signifie qu’ils n’enregistrent aucune information sur ce que leurs clients font en ligne. Bien que cela soit idéal, les clients VPN potentiels devraient être sceptiques face à de telles affirmations, en particulier de la part des VPN qui sont nouveaux, gratuits, qui ont peu de clients ou qui ont un historique de journalisation.
ExpressVPN enregistre certaines métadonnées, notamment « les applications et les versions d'applications activées avec succès, les dates (et non les heures) de connexion au service VPN, le choix de l'emplacement du serveur VPN et la quantité totale (en Mo) de données transférées par jour ». Rien de tout cela n’a été jugé utile par les autorités turques dans l’affaire Karlov.
Les emplacements virtuels, une solution imparfaite
À l'été 2017, ExpressVPN était vivement critiqué pour son utilisation de « lieux virtuels ». Les utilisateurs qui pensaient que leur trafic Internet était acheminé via un serveur VPN situé dans un endroit comme le Pakistan ou le Sri Lanka étaient en fait connectés à des serveurs situés dans d'autres pays. Si l'adresse IP attribuée au serveur est celle du pays choisi, le serveur physique réside ailleurs.
Les chercheurs ont affirmé qu'ExpressVPN, ainsi que PureVPN et HideMyAss, avaient déformé leurs services. Les critiques affirment que cela pourrait être désastreux pour les personnes qui croient se connecter à un serveur réel dans un certain pays. ExpressVPN a donné cette réponse à l'époque :
« Pour moins de 3 % des serveurs d’ExpressVPN, l’adresse IP enregistrée correspond au pays auquel vous avez choisi de vous connecter, alors que le serveur est physiquement situé dans un autre pays, généralement à proximité. C'est ce qu'on appelle des emplacements de serveurs virtuels et ils contribuent à garantir que votre connexion est rapide, sécurisée et fiable.
Suite à la saisie de ses serveurs en Turquie, ExpressVPN a cessé d'utiliser des serveurs physiques en Turquie et est passé à un emplacement virtuel. Dans l'application ExpressVPN, la Turquie est toujours répertoriée comme emplacement et s'y connecter donnera aux utilisateurs une adresse IP turque, mais le serveur physique est situé aux Pays-Bas.
Contrairement à ce que disent les critiques, l’incident de Karlov conforte le raisonnement d’ExpressVPN en faveur de l’utilisation d’emplacements virtuels. Dans les pays où des tiers, comme les agences de renseignement, peuvent compromettre la sécurité et la confidentialité des centres de données (où résident la plupart des serveurs), il est logique de créer un emplacement virtuel avec un serveur physique dans un pays où les réglementations en matière de confidentialité des consommateurs sont plus strictes.
'Nous avons des normes rigoureuses pour les serveurs qui couvrent non seulement la capacité à se connecter de manière fiable et à des vitesses rapides et constantes, mais également la sécurité physique et la juridiction juridique', a déclaré le porte-parole. « Dans certains pays, il peut être difficile de trouver des serveurs répondant à ces qualifications. Les emplacements de serveurs virtuels permettent aux utilisateurs de se connecter à ces pays, tout en offrant la confidentialité, la sécurité et la qualité de connexion qu'ils attendent d'ExpressVPN.
Les emplacements virtuels constituent une solution imparfaite pour les clients qui souhaitent se connecter à un pays mais qui veulent également s’assurer qu’ils bénéficient de la confidentialité pour laquelle ils ont payé. Plutôt que de faire une déclaration générale sur le fait que tous les emplacements virtuels sont d'une manière ou d'une autre malhonnêtes, le problème le plus pertinent est peut-être le manque de transparence. Alors qu'ExpressVPN répertorie désormais quels emplacements sont virtuels et lesquels ne le sont pas sur son site internet , l'application ExpressVPN elle-même ne fait aucune distinction entre les deux.
Mise à jour le 21 décembre 2017 :Ajout de citations du porte-parole d’ExpressVPN.
Crédit image du haut : Président de la Russie